实战Windows后门挖矿分析，附赠完整环境下载！

一头牛马的工作内容。手搓清理Windows shift后门和挖矿，文章末尾附赠环境下载和38页操作手册，随便下载。

背景

作为一名全能安抚崽，某天早上正端着9.9的牛马水刚坐到工位上，就接到客户的电话：“喂，*工，忙着呢么，我们这天天接到员工反应说**系统反应越来越慢，也让网络、服务器和开发厂商都排查过了，他丫的都说不是他们的问题，那台服务器还对外开放，我们比较担心，要不您抽空帮我们瞧瞧？”

我抓紧联系了客户的各个其他厂商了解情况，总结如下：

• 系统管理账户密码貌似被修改导致服务器出现远程桌面无法登录
• CPU资源占用率异常的高

我菊花一紧，坏了不能真被攻击了吧，听起来像挖矿啊，牛马水都没来得及喝一口，得，开始干活吧！

磁盘转换

服务器的磁盘格式一般是qcow2、vmdk、raw格式。客户服务器厂商给我打包发过来的目标磁盘镜像是由虚拟化服务器导出的是qcow2格式，需要将磁盘格式转成VMware的虚拟机vmdk格式进行加载磁盘。

成功运行,从图中就能看出来被菊花了，突然来一个mysql账户！！

清除密码

我们想要登录系统进行进一步排查就只能清除密码。

利用PE系统进行密码清除，挂载UQi_USBsys_12th.iso镜像文件，选03 启动Windows10 PE系统。

进入系统后，打开NTPWedit工具编辑即可，密码修改成简单密码。在图中读取的SAM数值 500是默认的administrator账户，修改超级管理员即可。如存在锁的状态直接进行unlock即可。

注:断开网卡由于系统已经启动，木马或者其他系统也同样自启动，所以需要将网卡断开防止在网络中交叉感染。注意修改的密码是英文输入法，系统启动成功后是法文输入法，需要进行切换输入法。

粘滞键排查

在C:WindowsSystem32中查看粘滞键程序sethc，运行后发现已被篡改为后门。

利用win和r输入regedit查看注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File ExecutionOptionsethc.exe

发现其已被指向C:WindowscmdacoBinRE[B]ELL，运行该文件发现该脚本即后门，查看该脚本发现其用路径下mysql文件的名字作为用户名登录，密码为mysql文件中的password值Amir1379@。

注:sethc.exe 是 Windows 系统的粘滞键程序（Sticky Keys）。当在登录界面快速按 5 次 Shift 键时，系统会调用 C:WindowsSystem32sethc.exe 弹出辅助功能窗口。

入侵分析

到目前为止，我们只发现了恶意文件，但并未发现挖矿程序的运行。这就很奇怪了，只能继续筛查日志。

打开cmd，输入eventvwr.msc，在Security下查看系统登录日志。利用过滤器过滤4625（登录失败）事件ID，发现在5/26/2024和/5/27/2024两天时间内有32918次登录失败记录，这很有可能是攻击者在进行密码爆破。

进一步查看用户是否爆破成功，重新设置过滤器，过滤时间在5/26/2024和/5/27/2024期间的所有4624（登录成功）事件ID，发现在5/26/2024 4:01:34 PM第一次以administrator身份登录到系统，登录ip为61.135.161.59，logon type为3。判断此时攻击者已经通过爆破的方式成功获得了administrator的密码。

进一步排查日志，查看攻击者是否在登录系统后创建了新的用户。重设过滤器，过滤从5/26/2024至今的6720（创建用户）事件ID，发现5/26/2024 7:28:42 PM以administrator身份创建了一个新的用户mysql，且在创建用户时并未设置密码。

通过筛选计算机系统安全日志4724发现，在5/26/2024 7:28:42 PM 时间节点，攻击者使用administrator用户修改了mysql用户的密码，然后又利用mysql用户在5/26/2024 7:43:45 PM修改了administrator用户的密码，正是因此也导致了进入系统时无法登录的情况。

再看查看攻击者以mysql用户登录的情况，重设过滤器为从5/26/2024 7:28:42 PM至今的4624事件ID。发现mysql在5/26/2024 7:37:30 PM以RDP方式（logon type 10）登录到系统。

发现在2/26/2024 7:35:30 PM系统安装了一个可疑服务WinRing0_1_2_0，安装服务文件名为WinRing0x64.sys。

注：为什么该期间的第一次登录不是恶意登录？解释：登录ip为本地地址，logon type为2，证明这是物理的使用了键盘和鼠标进行了登录，并非是恶意登录。

清理

由于我们在镜像上分析出了全部入侵过程以及问题，现在就可以对服务器着手进行清理了。

由于挖矿程序并未运行，因此主要删除攻击者创建的恶意用户及其相关文件。

首先删除恶意用户及其相关文件。键入win+r后输入lusrmgr.msc，删除mysql用户。

然后在C:Users中删除mysql用户的用户目录（可能需重启计算机后才能删除）。

别忘了把粘滞键后门以及相关的注册表还有文件进行删除。并且为了防止后续发生粘滞键后门我们可以直接关闭该功能。

总结

从整体排查发现挖矿病毒并未成功运行，但客户反馈给我的信息却是系统越来越卡所以才怀疑的。那么具体到底是谁的问题导致系统卡顿我们就不得而知了，毕竟厂商们也不会承认，谁也不想背锅。

但也算阴差阳错的是竟然的真的排查出了一个未成功运行的挖矿病毒，并且服务器有被入侵过的痕迹，还留下了后门。所以这次事件也算不幸中的万幸了。

从日志分析看是因为密码爆破进入了系统，大家脑子里默认就会觉得是弱口令导致的，公网上的系统弱口令这不是**么！但实际上服务器的密码并不算太弱口令，格式为：公司英文名称首字母缩写 + 特殊符号 + 数字。举个例子：Nbc-987654321。

我们每年都会给客户做安全培训，对于密码强度每年都提，但是我细想，好像确实要求的只有：

• 建议密码长度至少为12个字符
• 密码应包含大小写字母、数字和特殊字符的组合

他们也确实按照要求做到了，但实际上应该强制要求大小写字母、数字、符号、长度，并且随机生成避免有规律可循，或许就会避免很多类似的事件发生了。

客户的 Windows 服务器出现远程桌面登录失败、管理员密码被篡改、恶意账户被创建以及 CPU 占用率异常升高等安全问题，初步怀疑受到了挖矿病毒感染。本项目通过虚拟化和取证技术，对受感染系统进行隔离、分析与修复，完整覆盖事件响应与威胁追踪流程。

关键技能与方法 / Key Skills and Methods

1. 镜像导入与格式转换：使用qemu-img将 QCOW2 镜像转换为 VMDK，并在 VMware 中导入分析；
2. 离线挂载与进程排查：通过 Linux Live ISO 挂载 NTFS 卷，结合 Process Explorer、WMIC 与netstat命令，发现隐藏的挖矿程序与可疑端口；
3. 密码清除与权限恢复：利用 Windows PE 系统和 NTPWedit 工具，重置 Administrator 密码并解锁被篡改账户；
4. 持久化与后门检查：检查注册表 Run/RunOnce 项、快捷启动目录、计划任务，以及粘滞键（Sticky Keys）后门劫持；
5. 日志溯源分析：在 Event Viewer 中使用事件 ID（4625/4624/4720/4724）过滤功能，还原攻击者爆破登录、用户创建与密码修改的时间线。

学习收获 / Learning Outcomes

1. 掌握基于虚拟化的数字取证与磁盘镜像分析；
2. 熟练使用 Linux 与 Windows 交叉平台的离线挂载与权限恢复技术；
3. 精通 Windows PE 部署、NTPWedit 密码重置、进程与网络排查命令；
4. 深入理解注册表、快捷启动、计划任务与粘滞键后门的持久化检测；
5. 能够运用日志过滤与事件分析，还原攻击者操作流程与溯源；
6. 掌握密码策略、多因素认证、白名单访问控制、端口管理与补丁更新等系统加固方法。

原文始发于微信公众号（PTEHub）：实战Windows后门挖矿分析，附赠完整环境下载！